SDAT - sběr dat

DP_019S_SDAT_TS_5_TechnickeInformace_v0.3_revCNBTS-5 Technické informaceTechnické informace a systémové požadavkyVerze: 0.6

SDAT - sběr dat

Identifikace dokumentu

Název dokumentu: DP_019S_SDAT_TS_5_TechnickeInformace_v0.3_revCNB, TS-5Technické informace

Verze dokumentu: 0.6Projekt: SDAT - sběr datAutor: NESS Czech s.r.o., ČNB

Historie dokumentu

Datum Verze Popis verze a změn oproti verzi předchozí

2018-05-29 0.1 Úvodní verze dokumentu

2018-10-31 0.2 Drobné úpravy textu podle aktuálního stavu

2019-01-31 0.3 Doplnění informací o testovacím prostředí SDAT

2019-08-27 0.4 Doplnění informací k podepisování (kapitola 3.2.5)

2019-10-16 0.5 Aktualizace kapitoly 5.1

2020-11-20 0.6 Zrušení SFTP kanálu, odstranění informací o šifrování (nešifruje se)

document.docx strana 2 / 12

SDAT - sběr dat

Obsah1. Přílohy a odkazy na jiné dokumenty 4

2. Úvod 52.1. Účel dokumentu 5

3. Základní pravidla komunikace s ČNB 63.1. Organizační pravidla 63.2. Používané standardy 6

3.2.1. Znakové sady 63.2.2. Používání SSL 63.2.3. Používání komprese 63.2.4. Podepisování 63.2.5. Používání otisků souborů 73.2.6. Standardy webových služeb 7

3.3. Požadavky na vyplnění komunikační hlavičky 73.4. Autentizace 7

3.4.1. Autentizace webových služeb 73.4.2. Autentifikace v aplikaci 7

3.5. Změny v rozhraní83.5.1. Změny aplikace 83.5.2. Změny webových služeb 8

3.6. Záložní řešení v případě výpadku 9

4. Technický popis jednotlivých kanálů 104.1. Webové služby 104.2. Webová aplikace 104.3. Mailová komunikace 10

5. Jednotlivá prostředí ČNB 115.1. Produkční prostředí 11

5.1.1. Adresa produkčního prostředí 115.1.2. Servisní odstávky115.1.3. Obsah produkčního prostředí 11

5.2. Testovací prostředí 115.2.1. Adresa testovacího prostředí 115.2.2. Servisní odstávky115.2.3. Obsah testovacího prostředí 11

document.docx strana 3 / 12

SDAT - sběr dat

1. Přílohy a odkazy na jiné dokumenty

Název Popis

0 Základní dokument Popisuje strukturu dokumentace SDAT (tento dokument).

1 Popis systému Popisuje základní vlastnosti a architekturu se zaměřením na funkce určené pro externí uživatele.

2 Metapopis vykazovací povinnosti

Popisuje způsoby, kterými lze získat informace o metodikách vykazování a o vykazovací povinnosti – jak webovými službami, tak přes uživatelské rozhraní webové aplikace.

3 VykazováníPopisuje způsoby, kterými lze zaslat Vydání výskytů výkazů podle předepsané vykazovací povinnosti a následně získat informace o stavu jejich zpracování.

4 Vykazování – specifické případy

Rozcestník na samostatné dokumenty popisující specifické případy či způsoby vykazování.

5 Technické informace Popisuje technické náležitosti jednotlivých komunikačních rozhraní (tento dokument).

6 Katalog webových služeb Popisuje webové služby – primární rozhraní pro automatizované vykazování.

7 Modely metapopisu Popisuje architekturu systému na úrovni vybraných entitních modelů.

8 Popis jazyka kontrol Popisuje jazyk kontrol systému SDAT.

document.docx strana 4 / 12

SDAT - sběr dat

2. ÚvodTento dokument – Popis systému SDAT, je jedním ze sady dokumentů, které dohromady tvoří Technickou specifikace – kompletní popis systému pro sběr dat pro potřeby externích užiavtelů.

2.1. Účel dokumentuÚčelem tohoto dokumentu je popsat technické informace podstatné pro externí uživatele komunikující se systémem SDAT.

document.docx strana 5 / 12

SDAT - sběr dat

3. Základní pravidla komunikace s ČNB

3.1. Organizační pravidlaBude doplněno

3.2. Používané standardy

3.2.1. Znakové sadyPro komunikaci přes webové služby a v zasílaných souborech se používá znaková sada UTF-8.

3.2.2. Používání SSLPro komunikaci je povoleno používat aktuálně pouze TLS1.2 a následující cipher suite:

CIPHER SUITE ID

TLS_RSA_WITH_AES_128_CBC_SHA 0x00002F

TLS_RSA_WITH_AES_256_CBC_SHA 0x000035

TLS_RSA_WITH_AES_128_CBC_SHA256 0x00003C

TLS_RSA_WITH_AES_256_CBC_SHA256 0x00003DBude doplněno

Tyto parametry mohou být v budoucnosti upraveny (ve verzích směrem výše) v reakci na případně odhalené zranitelnosti těchto protokolů.

3.2.3. Používání kompresePři použití komprese na binární data zasílaná uvnitř XML bude používán výhradně formát GZIP. Na zasílané soubory je nutné použít formát ZIP nebo GZIP.

3.2.4. PodepisováníPři zasílání Vstupních zpráv přes webovou aplikaci SDAT bude možné použít komponentu aplikace, která zajistí funkcionalitu pro podpis Vstupní zprávy.

Při podepisování Vstupních zpráv zasíláných přes WS je nutné postupovat podle standardu XAdES, No Container, Detached, BASELINE-B; ve všech případech je podpis aplikován na komprimovaná data vstupní zprávy metodou GZIP Název podepsaného souboru se musí shodovat s obsahem <ReferencniId> Vstupní zprávy dle konvence SDAT_VYD_<ReferencniId>.gzip (např. SDAT_VYD_9898920190827140948547.gzip).

Pro podepsání lze použít jednu z těchto možností

Elektronické podpisy:

1. zaručený elektronický podpis založený na kvalifikovaném certifikátu,2. kvalifikovaný elektronický podpis.

Elektronické pečeti:

1. zaručená elektronická pečeť založená na kvalifikovaném certifikátu,

document.docx strana 6 / 12

SDAT - sběr dat

2. kvalifikovaná elektronická pečeť.

Pro podepisování protokolů na straně ČNB bude použita zaručená elektronická pečeť; podpis je aplikován způsobem ENVELOPED přímo na XML soubor s protokolem.

3.2.5. Používání otisků souborůPro vytváření otisků souborů je nutné použít algoritmus SHA-256

Otisk se vytváří ze souboru až po jeho komprimaci (pokud je použita).

3.2.6. Standardy webových služebWebové služby jsou založeny na následujících standardech

- použití WSDL 1.1, - použití SOAP 1.1, - použití SOAP/HTTP binding (komunikační protokol mezi systémy je HTTP), - použití soapAction pro všechny operace (nad požadavek WS-I Basic Profile 1.1), - pro přenos binárních dat použití MTOM/XOP (nad požadavek WS-I Basic Profile 1.1), - XSD schéma pro popis katalogů, jednotný katalog pro společné struktury, - zabezpečení webových služeb pomocí komunikační vrstvy (nepoužívá se WS-Security, XML-Signature a XML-Encryption, atd.),- formátování Document / Literal Wrapped.

3.3. Požadavky na vyplnění komunikační hlavičkyV hlavičce každého volání WS musí být povinně vyplněny následující údaje:

ID žádosti (uuid)

OsobaKod

CasZadosti

3.4. Autentizace

3.4.1. Autentizace webových služeb- Pro autentizaci u všech webových služeb (zasílání dat, informace o zpracování i metodické

informace) bude používán komerční serverový certifikát.- Tyto certifikáty musí být registrovány v SDAT.

- ČNB akceptuje certifikáty vydané kvalifikovaným poskytovatelem služeb vytvářejících důvěru ve smyslu článku 3 bodu 20 Nařízení eIDAS, který je uveden na důvěryhodném seznamu Ministerstva vnitra dle § 13 odst. 3 Zákona o službách vytvářejících důvěru pro elektronické transakce.

- Pokud bude autentizace neúspěšná, bude navázání spojení odmítnuto.

3.4.2. Autentifikace v aplikaci- Pro autentifikaci v aplikaci bude využito přihlášení pomocí uživatelského jména + hesla

document.docx strana 7 / 12

SDAT - sběr dat

3.5. Změny v rozhraní

3.5.1. Změny aplikaceAplikace je verzována  a informace o verzi a datu nasazení je v aplikaci dostupná po najetí kurzorem na logo systému.

3.5.2. Změny webových služeb Změny v rozhraní budou v maximální možné míře realizovány jako zpětně kompatibilní, tj. nebudou vynucovat změny na straně Osob.

Pokud to bude nezbytné může Česká národní banka provést i zpětně nekompatibilní změny v definovaných datových, komunikačních a bezpečnostních rozhraních, které však budou vyhlášeny v případě změn:

- datového rozhraní nejméně devět měsíců před začátkem jejich využívání,- komunikačního či bezpečnostního rozhraní v předstihu nejméně dvanácti měsíců.

Jedná se o změny vyvolané potřebou zvýšení využitelnosti systému, zvýšení jeho kvality, sjednocení s dalšími řešeními ve finančním sektoru, státní správě či EU a v souladu s rozvojem informačních technologií nebo vývojem standardů

Pro jednotlivé typy změn bude verzováno webových služeb realizováno takto:

1. Minoritní změny, které nemění definici rozhraní, jenom logiku zpracování (např. opravu chyby). Pro tyto účely slouží atribut version ve všech schématech (dokumentech XSD). Úvodní hodnota tohoto atributu je „1.0.0“. Při minoritních změnách se mění hodnota atributu na poslední pozici (tedy další verze je „1.0.1“). Služby jsou nadále vystaveny na stejném rozhraní (URL adresa). Starší SOAP dokumenty jsou nadále validní.

2. Kompatibilní změny, které mění jak definici rozhraní, tak logiku zpracování. Tyto změny jsou zpětně kompatibilní (např. přidání nepovinného atributu nebo elementu s minOccurs=“0“). Pro tyto účely slouží atribut version ve všech schématech (dokumentech XSD). Úvodní hodnota tohoto atributu je „1.0.0“. Při kompatibilních změnách se mění hodnota atributu na předposlední pozici (tedy další verze je „1.1.0“). Služby jsou nadále vystaveny na stejném rozhraní (URL adresa). Starší SOAP dokumenty jsou nadále validní.

3. Nekompatibilní (majoritní změny). Tato situace vede ke změně webové služby, resp. k vytvoření nové služby. Pro tyto účely slouží formát jmenného prostoru ve všech schématech (dokumentech XSD). Příkladem je schéma společných typů, jež je „urn:cz:cnb:sdat:schemas:ObjektyTypy:v1“. Při těchto změnách se mění jmený prostor, číslo na konci URN (tedy další verze této služby bude mít jmenný prostor „urn:cz:cnb:sdat:schemas:ObjektyTypy:v2“). Současně se mění výše uvedený atribut version na první pozici (tedy další verze je „2.0.0“). Služby jsou vystaveny na jiném rozhraní (URL adresa) a předpokládá se po omezenou dobu souběh provozu obou verzí webových služeb.

Obdobně se tato pravidla aplikují na verzování XSD, které nepopisují přímo obsah webových služeb, ale strukturu dokumentů obsažených ve webových službách v binární komprimované podobě.

Na úrovni SOAP dokumentů (vyměňovaných dat webových služeb) je rovněž element version, který je možno kontrolovat vůči podporovaným verzím ze strany aplikační logiky webových služeb. Osoby při vyvolání služby plní tento atribut poslední jimi používanou hodnotou verze XSD dokumentu. Systém SDAT kontroluje tuto verzi a v případě, že detekuje nekompatibilní hodnotu (např. sám podporuje verze XSD 1.1.0 a výš, ale v dokumentu je verze 1.0.1), může odmítnout zpracování dotazu/žádosti se

document.docx strana 8 / 12

SDAT - sběr dat

statusem „NEPLATNÁ VERZE“. Pokud detekuje různou ale kompatibilní hodnotu, zpracování provede a posílá zpátky status „STARŠÍ VERZE“.

3.6. Záložní řešení v případě výpadku1. Náhradním způsobem pro předání Vstupní zprávy s Vydání výskytu výkazu je fyzický nosič dat

nebo zabezpečená elektronická pošta. Náhradní způsob je možno použít po dohodě s Českou národní bankou, a to výhradně po nezbytně dlouhou dobu v případě výpadku technických komunikačních prostředků.

2. Náhradním způsobem pro předávání metodických informací (metapopisu) je předání souborů na fyzickém nosiči dat nebo prostřednictvím elektronické pošty, a to výhradně v případě, že hrozí nebezpečí prodlení.

3. Náhradním způsobem předávání protokolu o zpracování Vstupní zprávy a protokolu o zpracování Vydání výskytu výkazu je neformalizované oznámení výsledku zpracování pracovníkem České národní banky a to telefonem nebo prostřednictvím elektronické pošty.

4. Náhradním způsobem pro předávání Upomínky 1. a 2. stupně je v případě potřeby neformalizované upomenutí pracovníkem České národní banky prostřednictvím telefonu nebo e-mailovou zprávou. V případě Upomínky 3. Stupně je to datová schránka.

document.docx strana 9 / 12

SDAT - sběr dat

4. Technický popis jednotlivých kanálůPro komunikaci Osob s ČNB je možná využít následující komunikační kanály

4.1. Webové službyWebové služby jsou základním způsobem komunikace, jak pro předkládání výkazů, tak pro získávání informací. Jsou dostupné pouze pro registrované osoby. Webové služby využívají protokol SOAP s využitím HTTPS jako transportního protokolu. Služby jsou synchronní. Detailní popis jednotlivých služeb je uveden v dokumentu TS_6_KatalogWebovychSluzeb.

Veškerá komunikace se systémem SDAT je možná pouze s využitím SSL s využitím podporovaných standardů. Pro navázání spojení při volání webových služeb je nutné použít registrovaný certifikát.

4.2. Webová aplikaceWebová aplikace je alternativním komunikačním kanálem, který nabízí funkčnost v obdobném rozsahujako kanál webových služeb. Je dostupná pro registrované i neregistrované (jen část funkčnosti) Osoby, část informací týkající se prezentace metodických informací je dostupná veřejně.

Oproti webovým službám umožňuje navíc i správu údajů o Osobách, uživatelích a jejich oprávnění.

Je dostupná přes standardní protokol https s využitím SSL/TLS certifikátu na straně ČNB.

Aplikace je optimalizována pro prohlížeče::

Internet Explorer – od verze 11Mozilla Firefox – od verze 56Google Chrome – od verze 61

Testování probíhá na verzích aktuálních v době testování.

Patrně budou fungovat i jiné prohlížeče a jiné verze, ale bez záruky správného rozmístění ovládacích prvků.

4.3. Mailová komunikacePro některé typy komunikace je jako komunikační kanál (pouze výstupní) využita standardní mailová komunikace. Tento kanál je používán zejména při správě uživatelů a při zasílání protokolů.

Maily jsou zasílány z domény cnb.cz ve formátu HTML a nejsou šifrované ani podepsané, mohou ovšem obsahovat přílohy opatřené elektronickou pečetí.

document.docx strana 10 / 12

SDAT - sběr dat

5. Jednotlivá prostředí ČNBExterním uživatelům jsou zpřístupněna produkční a testovací prostředí.

5.1. Produkční prostředí

5.1.1. Adresa produkčního prostředí Webová aplikace - https://sdat.cnb.cz/sdat_ext/ Webové služby - https://sdat.cnb.cz/sdat_ext/

5.1.2. Servisní odstávkyZpravidla každé pondělí probíhá v odpoledních hodinách technická odstávka systému - důvodem je nasazování nových verzí.

5.1.3. Obsah produkčního prostředíZprovozněné moduly externího portálu:

prezentace metodických informací (veřejná část), správa Osoby a uživatelských účtů (neveřejná část - řízený přístup), prezentace vykazovacích povinností (neveřejná část - řízený přístup), informační webové služby (řízený přístup).

Dostupné metodické informace:

migrované platné metodiky ze systému MtS od roku 2016 výkazy vytvořené na základě XBRL taxonomií EBA (platné od roku 2018) a EIOPA (platné od

roku 2017).

5.2. Testovací prostředíTestovací prostředí systému SDAT bude trvale dostupné jako funkční kopie produkčního prostředí, určená zejména pro testování klientského SW a předprodukční testování metodik.

5.2.1. Adresa testovacího prostředí Webová aplikace - https://sdatt.cnb.cz/sdat_ext/ Webové služby - https://sdatt.cnb.cz/sdat_ext/

5.2.2. Servisní odstávkyZpravidla každé pondělí probíhá v odpoledních hodinách technická odstávka systému - důvodem je nasazování nových verzí.

5.2.3. Obsah testovacího prostředíZprovozněné moduly externího portálu:

prezentace metodických informací (veřejná část), správa Osoby a uživatelských účtů (neveřejná část - řízený přístup), prezentace vykazovacích povinností (neveřejná část - řízený přístup), informační webové služby (řízený přístup).

document.docx strana 11 / 12

SDAT - sběr dat

Dostupné metodické informace:

migrované platné metodiky ze systému MtS od roku 2016 výkazy vytvořené na základě XBRL taxonomií EBA (platné od roku 2018) a EIOPA (platné od

roku 2017).

document.docx strana 12 / 12